防火墙分为:硬件防火墙 和软件防火墙
**防火墙服务:**firewalld,centos7系统默认使用,centos6系统默认使用iptables防火墙
**防火墙机制:**匹配即停止
**管理工具:**firewall-cmd(命令行)、firewall-config(图形化)
Firewalld防火墙安全区域
Public(公共区域): 仅允许访问本机的sshd、DNCP、ping等少量服务
Trusted(信任区域): 允许任意访问
Block(堵塞区域): 拒绝所有来访请求
Drop(丢弃区域): 丢弃任何来访的数据包
**Work(工作区域):**只能定义内部网络。比如私有网络通信才被允许,只允许 ssh,ipp-client 和 dhcpv6-client
**Internal(内部区域):**只有通过被选中的连接
**Home(家庭区域):**专门用于家庭环境。它同样只允许被选中的连接,即 ssh,ipp-client,mdns,samba-client 和 dhcpv6-client
**External(外部区域):**相当于路由器的启用伪装(masquerading)选项。只有指定的连接会被接受,即 ssh,而其它的连接将被丢弃或者不被接受
**Dmz(隔离区域):**如果想要只允许给部分服务能被外部访问,可以在 DMZ 区域中定义。它也拥有只通过被选中连接的特性,即 ssh
firewalld服务管理
(1)开启防火墙
systemctl start firewalld
(2)设置开机自启
systemctl enable firewalld
(3)查看防火墙状态
systemctl status firewalld
基本操作
1.查看操作(查)
#查看防火墙状态
firewall-cmd --state
#查看当前可用区域
firewall-cmd --get-zones
#查看当前默认区域
##默认为public(公共区域)
firewall-cmd --get-default-zone
(1)查看区域内的规则
格式: firewall-cmd --zone=区域 --list-all
firewall-cmd --zone=public --list-all
2.添加防护规则(增、删)
格式:
添加/删除服务: firewall-cmd --zone=区域 --[add/remove]-service=服务(如:ftp、httpd、nginx等)
添加/删除端口: firewall-cmd --zone=区域 --[add/remove]-prot=端口号
选项: --permanent 命令后添加使其规则永久生效****(**** 默认设置的为临时规则重启后失效****)****
# public 区域添加ftp服务(删除规则就是把 add 改为 remove 即可)
firewall-cmd --zone=public --add-service=ftp --permanent
# public 区域添加80端口(删除规则就是把add改为remove即可)
firewall-cmd --zone=public --add-prot=80 --permanent
#查看 public 区域 规则
firewall-cmd --zone=public --list-all
#永久生效需重新加载防火墙配置
firewall-cmd --reload
3.使用案例
(1)单独拒绝某个ip设置黑名单
#将ip地址添加进Block(堵塞区域)拒绝请求(删除规则就是把add改为remove即可)
firewall-cmd --zone=block --add-source='192.168.1.1'
#查看区域规则
firewall-cmd --zone=block --list-all
(2)防火墙端口映射
#当访问本机9090端口时,映射(转发)到80端口
firewall-cmd --zone=public --add-forward-port=port=9090:proto=tcp:toport=80
#查看区域规则
firewall-cmd --zone=public --list-all